Linux Capabilities Revisited
7 months ago
- #Capabilities
- #Linux
- #Security
- Linux能力机制将root权限划分为不同的单元,以实现更精细的访问控制。
- 可通过`capsh --print`和`cat /proc/sys/kernel/cap_last_cap`等命令查询能力集。
- `setcap`命令用于为可执行文件设置能力,例如为Python设置`cap_setuid+ep`权限。
- 能力机制可被利用来提权,而无需依赖SUID/SGID位。
- `getcap -r`和LinPEAS等工具可用于扫描系统中设置了特殊能力的文件。
- Elastic提供检测规则来监控通过`setcap`设置能力的行为。
- 扩展权限(如能力)存储在文件inode中,可通过`getfattr`命令查看。
- 监控能力设置是全面安全审计的关键环节。